La confianza ciega en que “si está en la App Store, es seguro” acaba de recibir un serio revés; conviene reforzar la seguridad de tu iPhone. Una campaña de fraude digital ha logrado colarse en la tienda oficial de Apple con aplicaciones que se hacen pasar por billeteras de criptomonedas, capaces de robar las claves de acceso a los fondos de los usuarios.
La investigación, llevada a cabo por el equipo de Threat Research de Kaspersky, ha destapado al menos 26 aplicaciones fraudulentas de criptomonedas en la App Store, activas desde finales de 2025 y vinculadas a actores relacionados con SparkKitty. El objetivo: engañar a usuarios de iPhone de cualquier país, también en Europa y España, como otros impostores en la App Store, y apropiarse de sus activos digitales.
Una campaña silenciosa dentro de la App Store
Según los datos recopilados por Kaspersky, cada una de las aplicaciones detectadas suplantaba billeteras de criptomonedas muy conocidas, copiando iconos, nombres y aspecto general para pasar desapercibidas durante la revisión de Apple y ante los propios usuarios.
Entre las plataformas afectadas figuran MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken y Bitpie, tanto en su versión de billetera caliente (hot wallet) como en combinación con dispositivos de hardware considerados más seguros, como en el caso de Ledger.
Las aplicaciones estaban orientadas, en principio, a un público específico, pero no tenían restricciones geográficas. Es decir, cualquier persona con un iPhone que se topara con una de estas apps en la App Store —ya fuera en España, en otro país europeo o en Latinoamérica— podía convertirse en víctima potencial.
Kaspersky asegura que todos los casos fueron reportados a Apple, pero la campaña había conseguido operar durante meses en un entorno que, en teoría, debería actuar como primera barrera frente al malware.
Cómo engañan estas apps falsas de criptomonedas al usuario
El truco no consistía solo en publicar una copia burda de una billetera cripto. Los desarrolladores detrás de la campaña diseñaron un proceso de ataque en varias fases, pensado tanto para superar los controles de la App Store como para rebajar las defensas del usuario.
En un primer momento, las aplicaciones parecían inofensivas. Muchas incluían funciones de “fachada” como juegos sencillos, calculadoras o listas de tareas, que daban apariencia de normalidad. Al abrir la app, nada indicaba directamente que se tratara de un intento de robo.
El problema empezaba cuando la aplicación redirigía al usuario a una página falsa de Apple que imitaba la App Store oficial. El diseño, los textos y los botones buscaban replicar la estética de Apple, de forma que pareciera una extensión natural del entorno de iOS.
En esa página falsa se invitaba al usuario a descargar una “versión completa”, “actualizada” o “especial” de la billetera, supuestamente necesaria para gestionar sus criptomonedas con normalidad. Para quien no está acostumbrado a desconfiar, el proceso podía parecer una actualización legítima.
El papel clave del “perfil de desarrollador” en el fraude
El elemento más delicado del ataque es que no se basa en explotar una vulnerabilidad técnica del iPhone, sino en aprovechar funciones legítimas del propio sistema, diseñadas para empresas y desarrolladores.
La página que imitaba la App Store pedía al usuario instalar un “perfil de desarrollador” o perfil empresarial en el dispositivo. Este tipo de perfil se utiliza habitualmente en entornos corporativos para distribuir aplicaciones internas fuera de la tienda oficial.
En el contexto adecuado, un empleado de una empresa sí puede recibir instrucciones claras para instalar uno de estos perfiles. Pero en manos de ciberdelincuentes, el mecanismo se convierte en una puerta de entrada para apps que no pasan por los filtros habituales de la App Store.
Una vez que la víctima aceptaba el perfil, el iPhone quedaba autorizado para instalar aplicaciones externas sin advertencias tan visibles. Es justo en ese punto donde entraba en juego la verdadera aplicación maliciosa: una supuesta billetera de criptomonedas que, en realidad, era una versión adulterada con un troyano integrado.
Un troyano diseñado para vaciar billeteras cripto
La app descargada tras aceptar el perfil de desarrollador se hacía pasar por la billetera legítima elegida (por ejemplo, MetaMask o Ledger Wallet), pero incorporaba código malicioso adaptado a cada servicio. El objetivo primordial: robar las frases semilla y cualquier información que permitiera tomar el control de la wallet, tal y como ocurría con una guía falsa que instala malware detectada anteriormente.
En el caso de las hot wallets —billeteras conectadas a internet, como MetaMask, Trust Wallet o Coinbase Wallet— el malware estaba programado para interceptar la pantalla de creación o recuperación de la billetera. Cuando el usuario introducía su frase de recuperación, la aplicación la capturaba y la enviaba a los atacantes.
Una vez que alguien obtiene esa frase semilla, tiene la capacidad de restaurar la billetera en cualquier otro dispositivo y mover todos los fondos sin que el propietario pueda hacer prácticamente nada para evitarlo. En el ecosistema cripto, estas operaciones no se pueden revertir como una transferencia bancaria tradicional.
Con las cold wallets o billeteras frías, el enfoque era diferente. Servicios como Ledger combinan un dispositivo físico —que guarda las claves privadas fuera de línea— con una app móvil que actúa solo como interfaz. La aplicación legítima de Ledger nunca debería pedir la frase semilla una vez configurado el dispositivo.
Las versiones falsas, en cambio, se apoyaban en técnicas de phishing directo: mostraban mensajes que animaban al usuario a introducir su frase de recuperación para “verificar”, “sincronizar” o “restaurar” el dispositivo. Si el usuario caía en la trampa, el supuesto nivel extra de seguridad de la billetera fría quedaba completamente anulado.
Un problema global que también afecta a usuarios en España y Europa
Aunque el informe original de Kaspersky no se centra en un país concreto, la compañía insiste en que no existían limitaciones regionales en la distribución de estas apps falsas. Eso significa que cualquier usuario europeo que descargase una billetera cripto desde la App Store podía haberse topado con una de estas aplicaciones manipuladas.
En España, el uso de aplicaciones de autocustodia de criptomonedas ha crecido de forma notable en los últimos años, en paralelo a la expansión de plataformas de inversión y al interés por los activos digitales. Cada vez es más habitual gestionar fondos cripto desde el móvil, sin intermediarios tradicionales.
Ese cambio de hábitos tiene una cara menos amable: el móvil se convierte en un objetivo prioritario para los atacantes. Si la billetera principal de un usuario europeo está en un iPhone, basta con comprometer la app para hacerse con todo el saldo asociado a sus claves.
El caso destapado por Kaspersky refuerza la idea de que ya no basta con fiarse de que una app aparezca en la tienda oficial. Los ciberdelincuentes están aprendiendo a moverse dentro de los canales “legítimos”, utilizando mecanismos corporativos o de desarrollo para esquivar bloqueos.
Para los reguladores y organismos europeos que siguen de cerca la evolución del mercado cripto, campañas de este tipo ponen sobre la mesa nuevos retos en materia de protección del consumidor, supervisión de aplicaciones financieras y coordinación con las grandes plataformas tecnológicas.
El factor psicológico: confianza en Apple y en la propia App Store
Más allá del aspecto técnico, el incidente evidencia cómo los atacantes explotan la confianza que muchos usuarios depositan en iOS y en Apple. Durante años se ha repetido que descargar solo desde la App Store era la mejor forma de evitar problemas, y en general ha sido un consejo razonable.
Precisamente por eso, encontrar apps falsas de criptomonedas en la App Store resulta especialmente preocupante. Para buena parte de la gente, el simple hecho de ver el botón de descarga en la tienda oficial funciona como un sello de seguridad.
El esquema detectado por Kaspersky va un paso más allá: no se limita a colar una app maliciosa, sino que combina una fachada aparentemente normal con un proceso de engaño gradual. Primero se presenta una aplicación que no despierta sospechas, luego se muestra una pantalla que se parece a la App Store y, por último, se pide instalar un perfil de desarrollador.
Ese goteo de pequeñas decisiones —aceptar una descarga extra, instalar un perfil, introducir la frase de recuperación— hace que el usuario no perciba un punto claro de “esto es peligroso”. Como apunta María Isabel Manjarrez, investigadora del Equipo Global de Investigación y Análisis de Kaspersky, estas apps “funcionan como una puerta de entrada” que lleva al usuario, paso a paso, hasta el fraude.
El resultado es que, incluso en un dispositivo considerado seguro como el iPhone, la seguridad acaba dependiendo del criterio del usuario a la hora de aceptar o rechazar permisos y solicitudes inusuales.
Recomendaciones de seguridad para usuarios de iPhone con criptomonedas
Tras descubrir la campaña, Kaspersky ha publicado una serie de pautas para ayudar a los usuarios a proteger sus billeteras de criptomonedas en iOS. Varias de estas medidas son aplicables también a otros sistemas operativos y plataformas.
La primera recomendación es desconfiar de cualquier app que, de repente, te lleve a una web externa para descargar otra aplicación o una supuesta actualización. Si una billetera cripto instalada desde la App Store redirige a una página que parece la tienda de Apple pero no lo es, lo más prudente es cerrar todo y revisar el origen.
En segundo lugar, se insiste en no instalar perfiles de desarrollador o certificados de configuración desconocidos en el iPhone, salvo que provengan de un entorno corporativo verificado y con instrucciones claras. Para un usuario particular, lo normal es no necesitar nunca este tipo de perfiles para usar billeteras o apps financieras.
También es clave revisar detenidamente quién aparece como desarrollador de la app antes de descargarla: el nombre debe coincidir con el proveedor oficial de la billetera (por ejemplo, la empresa detrás de MetaMask o Ledger), y no con variantes sospechosamente parecidas. Los comentarios y valoraciones pueden aportar pistas, pero no siempre son definitivos.
Otro punto fundamental es proteger la frase semilla o seed phrase. Ninguna billetera legítima debería pedir esa información de forma inesperada, fuera del proceso inicial de configuración o recuperación. Si una app, supuestamente oficial, solicita la semilla sin un motivo claro, conviene parar en seco y verificar directamente en la web oficial del servicio si esa petición es normal.
Por último, Kaspersky sugiere considerar el uso de una solución de seguridad especializada, capaz de detectar páginas de phishing, bloquear intentos de fraude y ofrecer capas adicionales de protección para la información financiera. Entre las opciones que menciona la empresa está Kaspersky Premium, aunque en el mercado existen otras apps de seguridad para proteger tu Mac que pueden aportar defensas similares.
En un ecosistema donde las transacciones son irreversibles y la responsabilidad recae en el propio usuario, combinar buenas prácticas de seguridad con herramientas de protección adicionales puede marcar la diferencia entre mantener a salvo una billetera y perderla por completo.
Todo este incidente con las apps falsas de criptomonedas en la App Store deja claro que los atacantes ya no se limitan a enlaces raros o webs oscuras: ahora también se cuelan en los canales oficiales y se aprovechan de funciones legítimas del sistema. Para quienes gestionan criptoactivos desde el móvil, especialmente en países donde el uso de estas billeteras va al alza como España y el resto de Europa, ser cuidadosos con cada permiso y cada descarga se ha vuelto casi tan importante como elegir bien la inversión.
